微软公司的软件是近期内多起重大安全事件的主角,但微软认为安全社团(security community)对近期恶性攻击事件至少负有部分责任:那些公开软件漏洞信息以及攻击例程的安全公司以及黑客们。
本周微软安全反应中心的经理Scott Culp在公司的网站上发表一份评论文章,谴责那些任意散布软件漏洞攻击程序的部分公司以及独立的安全咨询人员,称他们是“助纣为虐” 。
他说,这些信息的任意散布是导致本年内大多数恶性蠕虫攻击事件的主要原因。
Culp在评论中称,安全社团应该立即停止上述的行为,同时广大电脑用户也应要求安全社团承担起相应保护软件漏洞信息不外漏的责任。
安全专家对于软件漏洞是应该公开还是应该保密的争论早已又之,Culp的此份评论又引起了关于此问题的激烈辩论。
微软公司近期完成的一份蠕虫攻击研究报告-其中包括Ramen,1i0n,Sadmind,红色代码以及Nimda-发现它们都使用了“漏洞检测代码”(exploit code)。这样的代码通常是一段完整的程序,恶意攻击者用它来寻找可以利用的系统或软件漏洞。
赞同公开漏洞信息的鼓吹者们认为这有助于系统管理员及时了解潜在的安全危险,而Culp则认为安全社团向外界提供了太多不该提供的信息。
微软公司的软件由于应用广泛成为攻击者的最大目标。经初步统计,红色代码病毒感染了近百万台运行微软IIS Web服务器的系统,而近期爆发的Nimda病毒则对运行微软软件的服务器和客户机系统同时发起攻击。
   手机铃声下载 快乐多多 快来搜索好歌!       新浪企业广场诚征全国代理
|